Solutions for Business · 2/3 2014
29
MARKT
Kunden nach mehr als drei Sekunden
Ladezeit eine Webseite verlassen und
80 Prozent von ihnen nicht mehr zu-
rückkehren. Für Dienstleistungsunter-
nehmen können also schon Teilausfälle
zu sofortigen Umsatzeinbußen führen.
Des Weiteren sind die Angreifer in im-
mer stärkeremMaße in der Lage, auch
frisch aktualisierte Sicherheitssysteme
in Unternehmen außer Gefecht zu set-
zen, indem sie neue Angriffsstrategien
verwenden. Zum Beispiel mithilfe des
sogenannten „HTTP Floodings“ oder
Werkzeugen wie „Kill’em All“ sind
sie teilweise schon nach wenigen Stun-
den in der Lage, gerade neu installierte
Abwehrsysteme zu überwinden.
Mit zerstörerischen Angriffen vor
allem in den Jahren 2011 und 2012
haben die Intensität und der Anteil
der besonders risikoträchtigen Atta-
cken in den vergangenen Jahren ste-
tig zugenommen. Radwares DoS-/
DDoS-Risikobarometer zufolge stieg
die Härte der DDoS-Angriffe im ver-
gangenen Jahr um 20 Prozent. Nach
DoS-/DDoS- sind DNS-Attacken
die derzeit zweithäufigste Angriffs-
form. Sie sind deshalb für Angreifer
interessant, weil sich mit ihnen trotz
eingeschränkter Ressourcen massi-
ver Datenverkehr erzeugen lässt und
ihre Mehrebenen-Architektur eine
Nachverfolgung der Angreifer fast un-
möglich macht. Neben diesen DNS-
Attacken tauchten jüngst weitere, für
Unternehmen gefährliche Angriffsar-
ten auf. Verschlüsselte anwendungs-
basierte Angriffe machten rund 50
Prozent alle Web-Attacken aus, wobei
in 15 Prozent aller Fälle Login-Seiten
von Internetanwendungen täglich un-
ter Beschuss genommen wurden.
Neben Regierungsbehörden sind Fi-
nanzdienstleister zu den häufigsten
Zielen von Cyberangriffen geworden.
DDoS-Aktionen hatten nicht nur zer-
störerische Motive, wie zum Beispiel
bei der Angriffsserie „Operation Aba-
bil“ auf US-Finanzinstitute oder bei
Attacken auf mehrere Bitcoin-Börsen.
Viele sollten zugleich andere System
einbrüche verschleiern, die betrüge-
rischen Zwecken dienten. Auch bei
Webhosting- und Internet-Dienstleis-
tern stieg 2013 die Zahl der Angriffe.
Kaspersky Lab
enthüllt „The Mask“
Bei der Cyberspionagekampagne „The
Mask“ (in spanischer Sprache auch Ca-
reto genannt) handelt es sich um eine
APT (Advanced Persistent Threat)-At-
tacke. Sie gilt aufgrund ihrer Komple-
xität und der verwendeten Werkzeuge
als eine der derzeit fortschrittlichsten
Cyberspionagekampagnen. Bei „The
Mask“ kommt eine äußerst ausgeklü-
gelte Malware mit Rootkit, Bootkit,
Versionen für Mac OS X und Linux
sowie verschiedene Varianten für An-
droid und iOS (iPhone und iPad) zum
Einsatz. Angriffsziele sind Regierungs-
organisationen, diplomatische Ein-
richtungen und Botschaften, Energie‑,
Öl- und Gas-Unternehmen sowie For-
schungseinrichtungen und Aktivisten.
Die „The Mask“-Opfer kommen aus
31 Ländern weltweit – darunter auch
aus Deutschland und der Schweiz.
Die Angreifer haben es auf sensibleDa-
ten der infizierten Systeme abgesehen,
wie beispielsweise Arbeitsdokumente,
Verschlüsselungscodes, VPN-Konfigu-
rationen (Virtual Private Network) für
sichere Verbindungen, SSH-Schlüssel
(Secure Shell) zur Kommunikation mit
einem
SSH-Verschlüsselungsserver
und RDP-Dateien (Remote Desktop
Protocol), die zum Aufbau von Termi-
nal-Verbindungen dienen.
„Es gibt zahlreiche Anzeichen dafür,
dass hinter ,The Mask‘ eine natio-
nalstaatlich unterstützte Kampagne
steht“, sagt Costin Raiu, Director
Global Research and Analysis Team
(GReAT) bei Kaspersky Lab. „Zu-
nächst haben wir einen sehr hohen
Grad an Professionalität bei der ope-
rativen Durchführung dieser Kampa-
gne festgestellt – vom Infrastruktur-
management bis zum Shutdown der
Kampagne. Dabei werden neugierige
Blicke etwa durch den Einsatz von
Zugriffsregeln vermieden. Und auch
die Tatsache, dass Logdateien mittels
Wiping vollständig gelöscht wurden,
macht diese APT-Attacke in Sachen
Perfektion zu einer der derzeit fort-
schrittlichsten Bedrohungen – noch
vor Duqu. Das operative Sicherheits-
niveau ist für konventionelle Cyberkri-
minelle ungewöhnlich.“
Die Kaspersky-Experten wurden im
vergangenen Jahr auf „The Mask/
Careto“ aufmerksam, als sie Exploit-
Versuche auf eine Schwachstelle in den
Unternehmenslösungen von Kaspersky
Lab feststellten, obwohl die Schwach-
stelle bereits seit fünf Jahren behoben
war. Das Exploit bot der Malware die
Möglichkeit, sich vor Entdeckung zu
schützen. Dadurch wurde das Interesse
der Virenforscher geweckt und entspre-
Werner Thalmeier, Radware: „Unser
Bericht macht deutlich, dass DoS-/
DDoS-Attacken zu einem bevorzugten
Werkzeug geworden sind.“
